plik


ÿþJak dzia a wirus Jak dzia a wirus O wirusach komputerowych powstaj legendy, w telewizji s yszy si o kolejnych atakach mikrobów, w filmach wirusy coraz cz ciej graj wa ne, cho przewa nie negatywne role. Ma o osób zdaje sobie spraw , e to nie wirusy poczyni y w ostatnich czasach najwi ksze szkody. O wiele wi kszym zmartwieniem s dzi robaki i wirusy makr. Dlaczego wirus? Dlaczego wirus? Nazwa powsta a przez analogi do naturalnego wirusa. Jest to bardzo dziwny twór, poniewa z biologicznego punktu widzenia jest martwy. Nie yje, nie ma metabolizmu, nie porusza si , nie rozmna a si samodzielnie, a jednak ma si doskonale. Jest kawa kiem informacji DNA wyposa onej w naturalny interfejs pozwalaj cy czy si z ywymi komórkami. Po po czeniu wirus podmienia kod genetyczny, zmuszaj c komórk do zmiany zachowa oraz tworzenia swoich kopii. Ca kiem jak komputerowy odpowiednik. Typy szkodników Typy szkodników Wirus samopowielaj cy si fragment kodu. Ma mechanizmy pozwalaj ce czy si z innymi programami. Mo e Wirus zarazi dyski, zapisuj c si sektorze startowym. Zaawansowane wirusy potrafi maskowa swój kod ród owy, wy cza oprogramowanie antywirusowe czy mutowa , utrudniaj c identyfikacj . Robak program maj cy za zadanie mno y si w sieciach komputerowych, przejmowa funkcje serwera i Robak zapycha cza sztucznym ruchem. Ko troja ski szkodliwy program, który udaje, e jest normaln aplikacj . W zale no ci od zamiarów twórcy Ko troja ski mo e umo liwia przej cie kontroli nad komputerem, wysy a poufne informacje o u ytkowniku czy niszczy dane na dysku. Wirus makr szkodnik oparty na j zyku skryptowym charakterystycznym dla danej aplikacji. W praktyce Wirus makr najcz ciej jest to skrypt VBA wykorzystuj cy dziury w zabezpieczeniach Microsoft Office. Rodzajem tego typu szkodników s tak e wirusy e-mailowe. mier wirusa mier wirusa Czasy wietno ci klasyczne wirusy maj za sob . Kiedy wi kszo danych, programy, a nawet systemy operacyjne by y przechowywane na dyskietkach i przenoszone mi dzy komputerami, wirusy mia y raj. Zainfekowana dyskietka zara a a komputer, który nagrywa kopi wirusa na kolejn dyskietk , ta w drowa a do nast pnej maszyny. Jednak programy zacz y si rozrasta i do powszechnego u ytku wesz y p yty CD. Z racji tego, e na wyt oczonym CD nie mo na niczego nagra , mo liwo ci rozmna ania si dramatycznie si skurczy y. Do upadku wirusów przyczynili si tak e producenci sprz tu, wprowadzaj c zabezpieczenia przed nieautoryzowan modyfikacj sektora startowego dysku. Nie bez znaczenia by a te rosn ca wiadomo u ytkowników, którzy zacz li stosowa oprogramowanie antywirusowe. Nie nale y jednak uwa a , e jeste my bezpieczni. Nigdy nie wiadomo, czy jaki psychopata nie tworzy w a nie nowego zagro enia. Ochrona przed makrami w Office Ochrona przed makrami w Office Jednym z najprostszych sposobów na zwi kszenie bezpiecze stwa swoich danych jest wy czenie automatycznego wykonywania makr. Uruchamiamy Word i z menu Narz dzia wybieramy pozycj Opcje. W Narz dzia Opcje pojawiaj cym si oknie znajdujemy zak adk Zabezpieczenia. Na niej klikamy na przycisk Bezpiecze stwo Zabezpieczenia Bezpiecze stwo makr. Pojawi si okno, w którym zaznaczamy pozycj rednie. Mo esz zdecydowa , czy uruchamia makr rednie. Mo esz zdecydowa , czy uruchamia potencjalne niebezpieczne makra. Wychodzimy z opcji, klikaj c na OK. Od tej pory b dziemy potwierdzali potencjalne niebezpieczne makra OK uruchamianie si ka dego potencjalnego niebezpiecznego makra. Sieciowe pu apki Sieciowe pu apki Na miejsce klasycznych wirusów wesz y twory wykorzystuj ce Internet. Najpopularniejszym sposobem na dokonanie szkód jest wirus pocztowy. Przyk adami s Melissa i ILOVEYOU (zwany listem mi osnym). Wykorzystuj one zarówno dziury w zabezpieczeniach programów, jak i naiwno u ytkowników. Trik Melissy polega na umieszczeniu w pliku DOC makra, które wysy a o do pierwszych 50 adresatów ksi ki adresowej kopi listu z do czonym feralnym dokumentem DOC. List zawiera kilka s ów zach caj cych do otwarcia za cznika. E-mail móg sprawia wra enie, e zosta napisany przez cz owieka by nawet podpisany imieniem w a ciciela komputera wysy aj cego. Je li kto by na tyle naiwny, eby wykona polecenie, stawa si ogniwem infekcji. Wirus zara a tak e Word, tak e ka dy nowy dokument zawiera kod Melissy. Ciekawym przyk adem jest wirus ILOVEYOU. Bazowa on na sk onno ci u ytkowników do sprawdzania nowych programów oraz pró no ci. Bo jak inaczej wyt umaczy fakt, e miliony u ytkowników wiadomie uruchomi o program, który przyszed jako za cznik od nieznanego nadawcy? Mo e wyznanie mi o ci u pi o czujno ? Trudnym, bo wymagaj cym znajomo ci dzia ania skomplikowanych programów i rodowisk sposobem na sterroryzowanie sieci jest napisanie robaka. Jak zabójczy mo e by dobrze skonstruowany insekt, wiadcz przeprawy ze Slammerem. Fa szywki Fa szywki Atmosfer strachu wokó wirusów cz sto wykorzystuj szukaj cy naiwnych artownisie. Od czasu do czasu pojawiaj si wysy ane e-mailem alarmuj ce wiadomo ci o nowym szczególnie gro nym wirusie. Zawieraj one szczegó owy opis, jakie szkody wyrz dzi nam wirus, i strasz , e jest to powa ne zagro enie, na które na razie nie ma szczepionki. Pó biedy, je li na tym si ko czy. Niektóre listy podaj cudowne recepty, jak zabezpieczy si przed mikrobem najcz ciej wykonanie za czonych instrukcji ko czy si uszkodzeniem systemu. Taka sytuacja mia a miejsce w przypadku listu namawiaj cego do usuni cia rzekomego wirusa jdbgmgr.exe zbiór, który wed ug zalece trzeba by o skasowa (mia charakterystyczn ikon z pluszowym misiem) by wa nym plikiem systemowym. Alarmy-fa szywki na szcz cie rzadko s t umaczone na j zyk polski. Samo z o Samo z o Analizuj c Slammera, nie sposób nie dostrzec zimnej kalkulacji robak rozmna a si z niewiarygodn pr dko ci w jednym celu niszczy . Domowy pecet ze sta ym czem móg wysy a kilkaset zaka nych pakietów na sekund . Firmowe serwery stanowi y wr cz monstrualne wyl garnie nowych zarodników. Robak nie tylko zara a podatne maszyny (s raporty o 750 000 zainfekowanych serwerach SQL), ale skutecznie blokowa wszystkich u ytkowników Internetu, zapychaj c sie miliardami pakietów danych. O ile poprzedni s ynny szkodnik robak Code Red oprócz rozmna ania si mia jeszcze zadanie atakowa witryn Bia ego Domu (WWW.whitehouse.gov), to Slammer niszczy wszystko, co napotka na drodze. Kto to pisze Kto to pisze Kto pisze wirusy i dlaczego? W ludziach drzemie ch zniszczenia i frustracja. Kto , kto nie ma innego sposoby, eby zaistnie w wiadomo ci innych inaczej ni powoduj c straty materialne, podpala przystanki autobusowe, ma e flamastrem czyste ciany, pisze wirusy. Znane s wprawdzie nieliczne przyk ady wirusów, których pojawienie si wi za o z jakim manifestem czy protestem, na przyk ad politycznym (apele o poparcie dla Palestyny), lub ogólnym (przeciwko Microsoftowi), jednak znakomita wi kszo to zwykle przest pstwo wymierzone w u ytkowników. Nie dajmy, si jednak zastraszy . Odrobina przezorno ci wystarczy, eby nie da satysfakcji chuliganom. Z perspektywy robaka Z perspektywy robaka Wspó czesne robaki i wirusy staj si coraz bardziej wyspecjalizowane. Ich twórcy nie staraj si napisa uniwersalnego kodu, lecz program, który wykorzystuje konkretn s abo danej aplikacji lub systemu. Dobrym przyk adem jest nies awny robak Slammer. By a to relacja z perspektywy producenta antywirusów Symanteca. Zobaczmy, jak ca a infekcja wygl da a z punktu widzenia robaka. Jak na program, który spowodowa miliardowe straty, zablokowa na jaki czas ruch internetowy w wielu miejscach wiata czy wy czy spor cz sieci komórkowej w Korei, Slammer jest do niepozorny. Jego kod zajmuje 376 bajtów czyli kilkana cie razy mniej ni ten artyku . 15 minut do rozpocz cia ataku Slammera pierwsze du e serwery przesta y dzia a ze wzgl du na przeci enie cz. Jak to mo liwe, eby robak dzia a tak szybko? Tajemnica tkwi w sposobie rozsiewania kopii szkodnika. Wykorzystuje on internetowy protokó UDP szybsz i l ejsz wersj znanego TCP. W TCP, aby przes a dane, komputer nadaj cy i odbieraj cy musz nawi za dialog. Nadawca nie zacznie wysy a danych, zanim odbiorca nie da sygna u, e jest gotowy. Protokó UDP wykorzystuje natomiast podró uj ce w jedn stron , zaadresowane do konkretnego serwera pakiety informacji. Ich nadanie nie wymaga pozwolenia odbiorcy. Tak si z o y o, e protokó UDP jest szeroko wykorzystywany przez Microsoft SQL Server 2000 do zdalnego przeszukiwania baz danych. Co wi cej, podobny kod obs ugi SQL jest wbudowany w szereg innych aplikacji Microsoftu. Wiele z ofiar Slammera nawet nie wiedzia o, e korzysta z SQL. Robak mo liwo dzia ania zawdzi cza b edowi typu buffer overflow, czyli przepe nieniu bufora. W skrócie trik mo na opisa nast puj co je li wy lemy bardzo du porcj danych i w jaki sposób nak onimy program odbieraj cy, eby nie zweryfikowa wielko ci naszej paczki, to zawarto komunikatu b dzie wi ksza ni przeznaczone dla niego miejsce. Jego wychodz ca poza bufor cz nadpisze wi c inne rejony pami ci w tym fragmenty kodu programu-gospodarza. Zobaczmy krok po kroku, jak wygl da infekcja Slammerem. 1. Do komputera z Microsoft SQL Server 2000 nadchodzi pakiet UDP z pro b o wyszukanie informacji w bazie 1. danych. Tak si przynajmniej wydaje. 04 pierwsza liczba w ci gu sygnalizuje serwerowi, e po niej nast pi nazwa bazy, któr trzeba przeszuka . Wed ug specyfikacji Microsoftu nazwa ma mie 16 bajtów i ko czy si liczb 00. Jednak w feralnym pakiecie 00 nie wyst puje. Serwer SQL nie ma planu dzia ania na tak ewentualno ca y pakiet jest wklejany do pami ci. 2. Zapisany pakiet na pocz tku sk ada si z serii liczb 01 zajmuj cej 128 bajtów. To wystarczy, eby zape ni 2. bufor na przychodz ce paczki UDP. Dalsza cz pakietu jest zapisywana na miejscu tak zwanego stosu. Stos to miejsce w pami ci, gdzie program przechowuje list zada , które ma do zrobienia. Slammer zast pi wi c oryginaln list zada w asn , czyli przeprogramowanie zaatakowan aplikacj bez wzbudzenia niczyich podejrze . 3. Dalej sprawy tocz si b yskawicznie. Program przekazuje inicjatyw robakowi. Slammer odczytuje liczb 3. milisekund, które up yn y od w czenia serwera, i tworzy z niej adres IP, pod który wy le nowy pakiet. W praktyce jest to adres losowy. 4. Robak ma ju adres nowej potencjalnej ofiary, teraz przygotowuje zawarto przesy ki, jako ród o wskazuj c 4. samego siebie. 5. Serwer, zgodnie z poleceniem, wysy a nowy sfa szowany pakiet UDP. W kolejnym obrocie p tli robak tworzy 5. nowy adres i zleca wysy anie nast pnego pakietu. Mechanizm ruszy . W zale no ci od przepustowo ci cza i mocy komputera rozsiewa teraz po Internecie od kilkuset do kilkuset tysi cy swoich kopii na sekund . Tu zwraca uwag spryt programisty Slammer nie marnuje nawet setnej cz ci sekundy na ponowne odwo anie si do zegara systemowego nowy adres losowy tworzy, przypadkowo zamieniaj c miejscami cyfry w poprzednim adresie IP. Po kryzysie wywo anym przez ten atak podnios a si fala g osów, e skala zniszcze nie by aby tak du a, gdyby zamiast SQL Servera 2000 Mictosoftu stosowano oprogramowanie Open Source. Gdyby kod ród owy by ogólnie dost pny, by mo e kto wcze niej wy apa by dziur w zabezpieczeniach i uniemo liwi by atak. Jest to jednak tylko teoria.

Wyszukiwarka

Podobne podstrony:
Jak działa mózg neuronu –
Jak dziala nowy system emerytalny i co warto w nim zmienic
Jak dziala ludzki mozg
Agricolle koncentrat i s jak działa, gdzie kupić
Co to jest i jak działa Hasbara
jak dziala karta graficzna
Jak działa komputer w samochodzie

więcej podobnych podstron